Академический Документы
Профессиональный Документы
Культура Документы
Direccionamiento de red
Para participar en Internet, un host necesita una dirección IP. La dirección IP es una
dirección de red lógica que identifica un host en particular. Para poder comunicarse con
otros dispositivos en Internet, dicha dirección debe estar adecuadamente configurada y
debe ser única.
Cada paquete enviado por Internet tendrá una dirección IP de origen y de destino. Los
dispositivos de red requieren esta información para asegurarse de que la información
llegue a destino y de que toda respuesta sea devuelta al origen.
93
5.1.2 Estructura de la dirección IP
Una dirección IP es simplemente una serie de 32 bits binarios (unos y ceros). Para una
persona sería muy difícil leer una dirección IP binaria. Por este motivo, los 32 bits están
agrupados en cuatro bytes de 8 bits llamados octetos. Una dirección IP en este formato
no es fácil de leer, escribir o recordar. Para hacer que las direcciones IP sean más fáciles
de entender, cada octeto se presenta como su valor decimal, separado por un punto
decimal. Esto se conoce como notación decimal punteada.
Cuando un host está configurado con una dirección IP, ésta se introduce como un número
decimal punteado, por ejemplo, 192.168.1.5. Imagine que tuviera que introducir el
equivalente binario de 32 bits de 11000000101010000000000100000101. Si se
confundiera en sólo un dígito, la dirección sería diferente y el host no podría comunicarse
con la red.
Cuando un host recibe una dirección IP, lee los 32 bits a medida que son recibidos por la
NIC. Una persona, en cambio, debería convertir esos 32 bits en su equivalente decimal de
cuatro octetos. Cada octeto está compuesto por 8 bits, y cada bit tiene un valor. Los
cuatro grupos de 8 bits tienen el mismo conjunto de valores. En un octeto, el bit del
extremo derecho tiene un valor de 1, y los valores de los bits restantes, de derecha a
izquierda son 2, 4, 8, 16, 32, 64 y 128.
Determine el valor del octeto sumando los valores de las posiciones cada vez que haya
un 1 binario presente.
Si en esa posición hay un 0, no sume el valor.
Si los 8 bits son 0, 00000000, el valor del octeto es 0.
Si los 8 bits son 1, 11111111, el valor del octeto es 255 (128+64+32+16+8+4+2+1).
Si los 8 bits están combinados, como en el ejemplo 00100111, el valor del octeto es 39
(32+4+2+1).
94
Por lo tanto, el valor de cada uno de los cuatro octetos puede ir de 0 a un máximo de 255.
La dirección IP lógica de 32 bits tiene una composición jerárquica y consta de dos partes.
La primera parte identifica la red, y la segunda parte identifica un host en esa red. En una
dirección IP, ambas partes son necesarias.
Por ejemplo: si un host tiene la dirección IP 192.168.18.57, los primeros tres octetos
(192.168.18) identifican la porción de red de la dirección, y el último octeto (57) identifica
el host. Esto se conoce como direccionamiento jerárquico, debido a que la porción de red
indica la red en la que cada dirección host única está ubicada. Los routers sólo necesitan
saber cómo llegar a cada red, sin tener que saber la ubicación de cada host individual.
Otro ejemplo de una red jerárquica es el sistema telefónico. Con un número telefónico, el
código de país, el código de área y el intercambio representan la dirección de red; y los
dígitos restantes representan un número telefónico local.
Cada dirección IP consta de dos partes. ¿Cómo saben los hosts qué parte pertenece a la
red y cuál al host? Éste es el trabajo de la máscara de subred.
Cuando se configura un host IP, se asigna una máscara de subred junto con una
dirección IP. Como sucede con la dirección IP, la máscara de subred tiene una longitud de
95
32 bits. La máscara de subred identifica qué parte de la dirección IP corresponde a la red
y cuál al host.
La máscara de subred se compara con la dirección IP, de izquierda a derecha, bit por bit.
Los 1 en la máscara de subred representan la porción de red, los 0 representan la porción
de host. En el ejemplo que se muestra, los primeros tres octetos pertenecen a la red y el
último octeto representa el host.
Las máscaras de subred que vemos más frecuentemente en las redes domésticas y de
empresas pequeñas son: 255.0.0.0 (8 bits), 255.255.0.0 (16 bits) y 255.255.255.0 (24 bits).
Una máscara de subred como 255.255.255.0 (decimal) o
11111111.11111111.1111111.00000000 (binaria) utiliza 24 bits para identificar el número
de red, lo que deja 8 bits para identificar los hosts en esa red.
Para calcular la cantidad de hosts que esa red puede albergar, eleve el número 2 a la
potencia del número de bits de host (2 ^ 8 = 256). A este número debemos restarle 2 (256
- 2). El motivo por el que restamos 2 es porque todos los 1 dentro de la porción de host de
la dirección IP conforman una dirección de broadcast para esa red y no pueden ser
asignados a un host específico. Todos los 0 dentro de la porción de host indican la
identificación de la red y, nuevamente, no pueden ser asignados a un host específico. Se
pueden calcular fácilmente con la calculadora las potencias de 2 que incluyen todos los
sistemas operativos Windows.
tra forma de determinar la cantidad de hosts disponibles es sumar los valores de los bits
de host disponibles (128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255). A este número se le debe
restar 1 (255 - 1 = 254), debido a que los bits de host no pueden ser todos 1. No es
necesario restar 2, ya que el valor de todos los 0 es 0 y no se incluye en la suma.
Con una máscara de 16 bits, hay 16 bits (dos octetos) para las direcciones de host; por lo
tanto, una dirección host puede tener todos 1 (255) en uno de los octetos. Esto puede
parecer un broadcast pero, siempre y cuando el otro octeto no contenga todos 1, es una
96
dirección host válida. Recuerde que el host lee todos los bits de host juntos, no los valores
del octeto
Las direcciones de Clase C tienen tres octetos para la porción de red y uno para los hosts.
La máscara de subred por defecto tiene 24 bits (255.255.255.0). Las direcciones Clase C
generalmente se asignan a redes pequeñas.
Las direcciones de Clase B tienen dos octetos para representar la porción de red y dos
para los hosts. La máscara de subred por defecto tiene 16 bits (255.255.0.0). Estas
direcciones generalmente se utilizan para redes medianas.
Las direcciones de Clase A sólo tienen un octeto para representar la porción de red y tres
para representar los hosts. La máscara de subred por defecto tiene 8 bits (255.0.0.0).
Estas direcciones generalmente se asignan a grandes organizaciones.
Se puede determinar la clase de una dirección por el valor del primer octeto. Por ejemplo:
si el primer octeto de una dirección IP tiene un valor entre 192 y 223, se clasifica como
Clase C. Por ejemplo: 200.14.193.67 es una dirección Clase C.
97
5.2.2 Direcciones IP públicas y privadas
Todos los hosts que se conectan directamente a Internet requieren una dirección IP
pública exclusiva. Debido a la cantidad finita de direcciones de 32 bits disponibles, existe
la posibilidad de que se acaben las direcciones IP. Una solución para este problema fue
reservar algunas direcciones privadas para utilizarlas exclusivamente dentro de una
organización. Esto permite que los hosts dentro de una organización se comuniquen entre
sí sin necesidad de contar con una dirección IP pública única.
RFC 1918 es un estándar que reserva varios rangos de direcciones dentro de cada una
de las clases, A, B y C. Como se muestra en la tabla, estos rangos de direcciones
privadas constan de una única red Clase A, 16 redes Clase B y 256 redes Clase C. Esto
proporciona al administrador de red una flexibilidad considerable para la asignación de
direcciones internas.
Una red muy grande puede utilizar la red privada Clase A, que permite más de 16
millones de direcciones privadas.
En las redes medianas se puede utilizar una red privada Clase B, que proporciona más de
65 000 direcciones.
Las redes domésticas y de empresas pequeñas generalmente utilizan una única dirección
privada Clase C, que permite hasta 254 hosts.
98
La red Clase A, las 16 redes Clase B o las 256 redes Clase C pueden ser utilizadas
dentro de organizaciones de cualquier tamaño. Generalmente, muchas organizaciones
utilizan la red privada Clase A.
Las direcciones privadas pueden ser utilizadas internamente por los hosts de una
organización, siempre y cuando los hosts no se conecten directamente a Internet. Por lo
tanto, múltiples organizaciones pueden utilizar el mismo conjunto de direcciones privadas.
Las direcciones privadas no se envían a Internet y son bloqueadas rápidamente por un
router de ISP.
También existen direcciones privadas que pueden ser utilizadas para el análisis de
diagnóstico de los dispositivos. Este tipo de dirección privada se conoce como dirección
de loopback. La red 127.0.0.0 Clase A está reservada para las direcciones de loopback.
Unicast
La dirección unicast es el tipo más común en una red IP. Un paquete con una dirección de
destino unicast está dirigido a un host específico. Un ejemplo es un host con la dirección
IP 192.168.1.5 (origen) que solicita una página Web a un servidor con la dirección IP
192.168.1.200 (destino).
Para que un paquete unicast sea enviado y recibido, la dirección IP de destino debe estar
incluida en el encabezado del paquete IP. En el encabezado de la trama de Ethernet
también debe estar presente la dirección MAC de destino correspondiente. Las
direcciones IP y MAC se combinan para la entrega de datos a un host de destino
específico.
99
Broadcast
Para broadcast, el paquete contiene una dirección IP de destino con todos unos (1) en la
porción de host. Esto significa que todos los hosts de esa red local (dominio de broadcast)
recibirán y verán el paquete. Muchos protocolos de red, como ARP y DHCP utilizan
broadcasts.
Una red Clase C con la dirección 192.168.1.0 con una máscara de subred por defecto de
255.255.255.0 tiene la dirección de broadcast 192.168.1.255. La porción de host es 255,
en formato decimal, o 11111111 (todos unos), en formato binario.
Una red Clase B con la dirección 172.16.0.0 y la máscara por defecto 255.255.0.0, tiene la
dirección de broadcast 172.16.255.255.
Una red Clase A con la dirección 10.0.0.0 y la máscara por defecto 255.0.0.0 tiene la
dirección de broadcast 10.255.255.255.
Una dirección IP de broadcast para una red requiere una dirección MAC de broadcast
correspondiente en la trama de Ethernet. En las redes Ethernet, la dirección MAC de
broadcast está formada por 48 unos, que se muestran como un número hexadecimal FF-
FF-FF-FF-FF-FF.
100
Multicast
A los dispositivos que participan de un grupo multicast se les asigna una dirección IP de
grupo multicast. El rango de direcciones multicast va de 224.0.0.0 a 239.255.255.255.
Debido a que las direcciones multicast representan un grupo de direcciones (a menudo
denominado grupo de hosts), sólo pueden ser utilizadas como destino de un paquete. El
origen siempre será una dirección unicast.
Un ejemplo donde las direcciones multicast pueden ser útiles es en los juegos remotos,
donde muchos jugadores se conectan remotamente pero juegan al mismo juego. Otro
ejemplo puede ser la educación a distancia a través de videoconferencias, donde muchos
estudiantes se conectan a la misma clase.
Como sucede con las direcciones unicast y broadcast, las direcciones IP multicast
requieren una dirección MAC multicast correspondiente para poder entregar las tramas en
una red local. La dirección MAC multicast es un valor especial que comienza con 01-00-
5E en hexadecimal. El valor finaliza al convertir los 23 bits más bajos de la dirección IP del
grupo multicast en los 6 caracteres hexadecimales restantes de la dirección Ethernet. Un
ejemplo, como se muestra en el gráfico, es el hexadecimal 01-00-5E-0F-64-C5. Cada
carácter hexadecimal representa 4 bits binarios.
101
5.3 Cómo se obtienen las direcciones IP
5.3.1 Asignación de dirección estática y dinámica
Estática
Las direcciones estáticas tienen algunas ventajas. Por ejemplo, son útiles para impresoras,
servidores y otros dispositivos de red que deben estar accesibles para los clientes de la
red. Si el host normalmente accede al servidor en una dirección IP particular, no es
adecuado que esta dirección cambie.
102
Dinámica
Otro de los beneficios del DHCP es que las direcciones no se asignan permanentemente
a un host, sino que son arrendadas durante un período. Si el host se apaga o sale de la
red, la dirección es devuelta al pool de direcciones para ser reutilizada. Esto es
especialmente útil en el caso de los usuarios móviles que entran en una red y salen de
ella.
103
5.3.2 Servidores DHCP
Varios tipos de dispositivos pueden actuar como servidores de DHCP, siempre y cuando
ejecuten software de servicios DHCP. En la mayoría de las redes medianas a grandes, el
servidor de DHCP generalmente es un servidor local dedicado, basado en una PC.
104
5.3.3 Configuración de DHCP
Cuando se configura un host como cliente de DHCP por primera vez, éste no tiene
dirección IP, máscara de subred ni gateway por defecto. Obtiene la información desde un
servidor de DHCP, ya sea de la red local o del ISP. El servidor de DHCP está configurado
con un rango o pool de direcciones IP que pueden ser asignadas a los clientes de DHCP.
El servidor de DHCP puede estar ubicado en otra red. Los clientes de DHCP aún podrán
obtener direcciones IP, siempre que los routers intermedios estén configurados para
reenviar las solicitudes de DHCP.
Descubrimiento de DHCP: Paquete
enviado por el cliente en una subred
física local para encontrar servidores
disponibles
105
Solicitud de DHCP: Cuando el ordenador cliente
obtiene acceso a la red envía un paquete DHCP
para solicitar un arrendamiento, si es necesario
La tabla de cliente de DHCP también muestra el nombre del cliente y si está conectado
por medio de una interfaz LAN Ethernet o inalámbrica.
El router proporciona una gateway por la cual los hosts de una red pueden comunicarse
con los hosts de diferentes redes. Cada interfaz en un router está conectada a una red
separada.
La dirección IP asignada a la interfaz identifica qué red local está conectada directamente
a ésta.
106
Cada host de una red debe utilizar el router como gateway hacia otras redes. Por lo tanto,
cada host debe conocer la dirección IP de la interfaz del router conectada a la red donde
el host se encuentra. Esta dirección se conoce como dirección de gateway por defecto.
Puede configurarse estáticamente en el host o puede recibirse dinámicamente por DHCP.
El router integrado actúa como servidor de DHCP para todos los hosts locales conectados
a él, ya sea por medio de cable Ethernet o de forma inalámbrica. Se dice que estos hosts
locales son internos, ya que se encuentran dentro de la red. La mayoría de los servidores
de DHCP está configurada para asignar direcciones privadas a los hosts de la red interna,
en lugar de direcciones públicas enrutables de Internet. Esto garantiza que, por defecto,
no sea posible acceder directamente desde Internet a la red interna.
Muchos ISP también utilizan servidores de DHCP para proporcionar direcciones IP al lado
de Internet del router integrado instalado en los sitios de sus clientes. La red asignada al
lado de Internet del router integrado se conoce como externa o fuera de la red.
Cuando se conecta un router integrado al ISP, actúa como un cliente de DHCP para
recibir la dirección IP correcta de la red externa para la interfaz de Internet. Los ISP
107
generalmente proporcionan una dirección enrutable para Internet, que permite que los
hosts conectados al router integrado tengan acceso a Internet.
El router integrado actúa como límite entre la red local interna y la Internet externa.
Existen varias formas para conectar hosts a un ISP y a Internet. El hecho de que un host
individual reciba una dirección pública o privada depende de la forma en que está
conectado.
Conexión directa
Algunos clientes sólo poseen una computadora con conexión directa desde el ISP a
través de un módem. En este caso, la dirección pública es asignada al host simple desde
el servidor de DHCP del ISP.
Cuando más de un host necesita acceso a Internet, el módem del ISP puede conectarse
directamente a un router integrado en lugar de conectarse directamente a una única
computadora. Esto permite la creación de una red doméstica o para una empresa
pequeña. El router integrado recibe la dirección pública desde el ISP. Los hosts internos
reciben direcciones privadas desde el router integrado.
Los dispositivos gateway combinan un router integrado y un módem en una sola unidad y
se conectan directamente al servicio del ISP. Como sucede con los routers integrados, el
dispositivo gateway recibe una dirección pública desde el ISP, y las PC internas reciben
las direcciones privadas desde el dispositivo gateway.
108
5.4.3 Traducción de direcciones de red
El router integrado recibe una dirección pública desde el ISP, lo que le permite enviar y
recibir paquetes en Internet. Éste, a su vez, proporciona direcciones privadas a los
clientes de la red local. Dado que las direcciones privadas no están permitidas en Internet,
se necesita un proceso para traducir las direcciones privadas a direcciones públicas
únicas para permitir que los clientes locales se comuniquen por Internet.
El proceso que se utiliza para convertir las direcciones privadas en direcciones enrutables
para Internet se denomina traducción de direcciones de red (NAT, Network Address
Translation). Con NAT, una dirección IP de origen privado (local) se traduce a una
dirección pública (global). En el caso de los paquetes entrantes, el proceso es inverso.
Por medio de NAT, el router integrado puede traducir muchas direcciones IP internas a la
misma dirección pública.
Sólo es necesario traducir los paquetes destinados a otras redes. Estos paquetes deben
pasar por la gateway, donde el router integrado reemplaza la dirección IP privada del host
de origen con su propia dirección IP pública.
A pesar de que cada host de la red interna tiene asignada una dirección IP privada única,
los hosts deben compartir la dirección enrutable de Internet única asignada al router
integrado.
109
Capítulo 6. Servicios de red
6.1 Clientes, servidores y su interacción
6.1.1 Relación entre cliente y servidor
Diariamente las personas utilizan los servicios disponibles en las redes y en Internet para
comunicarse con otros y realizar tareas de rutina. Pocas veces pensamos en los
servidores, clientes y dispositivos de red necesarios para poder recibir un correo
electrónico, introducir información en un blog o comprar los mejores artículos a buen
precio en una tienda en línea. La mayoría de las aplicaciones de Internet más comunes se
basa en interacciones complejas entre diversos servidores y clientes.
El término servidor hace referencia a un host que ejecuta una aplicación de software que
proporciona información o servicios a otros hosts conectados a la red. Un ejemplo
conocido de dicha aplicación es un servidor Web. Existen millones de servidores
conectados a Internet que proporcionan servicios como sitios Web, correo electrónico,
transacciones financieras, descargas de música, etc. Un factor fundamental para permitir
el funcionamiento de estas interacciones complejas es que todos emplean estándares o
protocolos acordados.
Para solicitar y ver una página Web, el usuario utiliza un dispositivo que ejecuta software
cliente de Web. Cliente es el nombre que se le da a una aplicación informática que se
utiliza para acceder a información almacenada en un servidor. Un buen ejemplo de cliente
es un explorador Web.
110
6.1.2 Función de los protocolos en una comunicación de cliente-servidor
Protocolo de aplicación
Protocolo de transporte
111
Protocolo internetwork
Ethernet es el protocolo que más se utiliza para las redes locales. Los protocolos de
acceso a la red desarrollan dos funciones principales: administración de enlaces de datos
y transmisiones de redes físicas.
Los estándares y protocolos para los medios físicos rigen la manera en que los bits se
representan en los medios, la manera en que las señales se envían por los medios y la
manera en que los hosts receptores interpretan estas señales. Las tarjetas de la interfaz
de red implementan los protocolos correspondientes para los medios que se están
utilizando.
Cada servicio disponible en la red tiene sus propios protocolos de aplicación que se
implementan en el software de cliente y servidor. Además de los protocolos de aplicación,
todos los servicios de Internet tradicionales utilizan el protocolo de Internet (IP) para
asignar direcciones a los mensajes y enrutarlos a los hosts de origen y de destino.
112
Cuando una aplicación necesita un acuse de recibo de un mensaje, utiliza el protocolo
TCP. Esto es similar a enviar una carta certificada mediante un sistema de correo postal,
donde el destinatario debe estampar su firma como acuse de recibo de la carta.
TCP divide el mensaje en partes pequeñas, conocidas como segmentos. Los segmentos
se numeran en secuencia y se pasan al proceso IP para armarse en paquetes. TCP
realiza un seguimiento del número de segmentos que se enviaron a un host específico
desde una aplicación específica. Si el emisor no recibe un acuse de recibo antes del
transcurso de un período determinado, supone que los segmentos se perdieron y los
vuelve a transmitir. Sólo se vuelve a enviar la parte del mensaje que se perdió, no todo el
mensaje.
En el host receptor, TCP se encarga de rearmar los segmentos del mensaje y de pasarlos
a la aplicación.
FTP y HTTP son ejemplos de aplicaciones que utilizan TCP para garantizar la entrega de
datos.
UDP es un sistema de entrega "de mejor esfuerzo" que no necesita acuse de recibo. Es
similar a enviar una carta por sistema de correo postal. No se garantiza que la carta
llegará, pero existen grandes probabilidades de que esto suceda.
Con aplicaciones como streaming audio, vídeo y voz sobre IP (VoIP), es preferible utilizar
UDP. Los acuses de recibo reducirían la velocidad de la entrega, y las retransmisiones no
son recomendables.
Un ejemplo de una aplicación que utiliza UDP es la radio por Internet. Si parte del
mensaje se pierde durante su transmisión por la red, no se vuelve a transmitir. Si se
pierden algunos paquetes, el oyente podrá escuchar una breve interrupción en el sonido.
Si se utilizara TCP y se volvieran a enviar los paquetes perdidos, la transmisión haría una
pausa para recibirlos, y la interrupción sería más notoria.
Cuando se envía un mensaje utilizando TCP o UDP, los protocolos y servicios solicitados
se identifican con un número de puerto. Un puerto es un identificador numérico de cada
segmento, que se utiliza para realizar un seguimiento de conversaciones específicas y de
servicios de destino solicitados. Cada mensaje que envía un host contiene un puerto de
origen y un puerto de destino.
Puerto de destino
113
recibe el mensaje sabe que se solicitan servicios Web. Un servidor puede ofrecer más de
un servicio simultáneamente. Por ejemplo: puede ofrecer servicios Web en el puerto 80 al
mismo tiempo que ofrece el establecimiento de una conexión FTP en el puerto 21.
Puerto de origen
Los puertos de origen y de destino se colocan dentro del segmento. Los segmentos se
encapsulan dentro de un paquete IP. El paquete IP contiene la dirección IP de origen y de
destino. La combinación de la dirección IP de origen y de destino y del número de puerto
de origen y de destino se conoce como socket. El socket se utiliza para identificar el
servidor y el servicio que solicita el cliente. Cada día, miles de hosts se comunican con
miles de servidores diferentes. Los sockets identifican esas comunicaciones.
114
6.2 Servicios y protocolos de aplicación
6.2.1 Servicio de nombres de dominios (DNS, Domain Name Service)
Sería imposible recordar todas las direcciones IP de todos los servidores que prestan
servicios de hospedaje por Internet. Por eso, existe una manera más sencilla de ubicar
servidores mediante la asociación de un nombre con una dirección IP.
El sistema de nombres de dominios (DNS) proporciona un método para que los hosts
utilicen este nombre para solicitar una dirección IP de un servidor específico. Los nombres
del DNS están registrados y organizados en Internet en grupos específicos de alto nivel, o
dominios. Algunos de los dominios de alto nivel más comunes en Internet son: .com, .edu
y .net.
Un servidor DNS contiene una tabla que asocia los nombres de hosts de un dominio con
las direcciones IP correspondientes. Cuando un cliente tiene el nombre de un servidor,
como un servidor Web, pero necesita encontrar la dirección IP, envía una solicitud al
servidor DNS en el puerto 53. El cliente utiliza la dirección IP del servidor DNS
configurada en los parámetros DNS de la configuración IP del host.
Cuando el servidor DNS recibe la solicitud, verifica la tabla para determinar la dirección IP
asociada con ese servidor Web. Si el servidor DNS local no tiene una entrada para el
nombre solicitado, realiza una consulta a otro servidor DNS dentro del dominio. Cuando el
servidor DNS encuentra la dirección IP, esa información se envía nuevamente al cliente.
Si el servidor DNS no puede determinar la dirección IP, se agotará el tiempo de espera de
la respuesta y el cliente no podrá comunicarse con el servidor Web.
El software cliente trabaja con el protocolo DNS para obtener direcciones IP de un modo
que resulte transparente para el usuario.
Cuando un cliente Web recibe una dirección IP de un servidor Web, el explorador cliente
utiliza esa dirección IP y el puerto 80 para solicitar servicios Web. Esta solicitud se envía
al servidor mediante el protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer
Protocol).
Cuando el servidor recibe una solicitud del puerto 80, responde la solicitud del cliente y le
envía la página Web. El contenido de la información de una página Web se codifica
utilizando lenguajes de "etiquetas" especializados. El lenguaje de etiquetas por hipertexto
(HTML, Hypertext Mark-up Language) es el que más se utiliza, pero hay otros, como XML
y XHTML, que están ganando popularidad.
115
HTTP seguro se envían al puerto 443. Estas solicitudes requieren el uso de "https:" en la
dirección del sitio del explorador, en lugar de "http:".
Además de los servicios Web, otro servicio que se utiliza comúnmente por medio de
Internet es el que permite a los usuarios transferir archivos.
Las solicitudes para comenzar una sesión FTP se envían al servidor mediante el puerto
de destino 21. Una vez abierta la sesión, el servidor pasará al puerto 20 para transferir los
archivos de datos.
116
6.2.4 Clientes y servidores de correo electrónico
Cada servidor de correo recibe y almacena correspondencia para los usuarios que tienen
buzones configurados en el servidor de correo. Cada usuario que tenga un buzón deberá
utilizar entonces un cliente de correo electrónico para acceder al servidor de correo y leer
estos mensajes.
usuario@empresa.dominio.
SMTP es utilizado por un cliente de correo electrónico para enviar mensajes a su servidor
de correo electrónico local. El servidor local entonces decide si el mensaje se destina a un
buzón local o si se remite a un buzón de otro servidor.
Si el servidor tiene que enviar el mensaje a un servidor diferente, también se utiliza SMTP
entre los dos servidores. Las solicitudes de SMTP se envían al puerto 25.
Protocolo de oficina de correos (POP3, Post Office Protocol)
Un servidor que soporta clientes POP recibe y almacena mensajes dirigidos a sus
usuarios. Cuando el cliente se conecta con el servidor de correo electrónico, los mensajes
se descargan al cliente. Por defecto, los mensajes no se retienen en el servidor una vez
que el cliente accede a ellos. Los clientes se ponen en contacto con los servidores POP3
en el puerto 110.
Un servidor que soporta el cliente IMAP también recibe y almacena los mensajes dirigidos
a sus usuarios. Sin embargo, conserva los mensajes en los buzones del servidor, a
menos que el usuario los elimine. La versión más actual de IMAP es IMAP4, que espera
las solicitudes del cliente en el puerto 143.
Existen muchos servidores de correo electrónico diferentes para las diversas plataformas
de sistema operativo de la red.
117
Un cliente de correo electrónico se conecta con el servidor de correo electrónico para
descargar y ver los mensajes. La mayoría de los clientes de correo electrónico se puede
configurar para usar POP3 o IMAP4, según el servidor de correo electrónico donde se
encuentre el buzón. Los clientes de correo electrónico también deben poder enviar correo
electrónico al servidor mediante SMTP.
118
El gráfico muestra la configuración básica de una cuenta de correo electrónico POP3 y
SMTP con Microsoft Outlook.
Las aplicaciones IM requieren una configuración mínima para funcionar. Una vez que el
cliente se descarga, lo único necesario es escribir el nombre de usuario y la contraseña.
Esto permite la autenticación del cliente IM en la red IM. Una vez que se conectan al
sistema, los clientes pueden enviar mensajes a otros clientes en tiempo real. Además de
mensajes de texto, IM admite la transferencia de archivos de vídeo, música y voz. Los
clientes IM pueden contar con una función de telefonía, que permite a los usuarios realizar
llamadas telefónicas por medio de Internet. Es posible realizar más configuraciones para
personalizar el cliente IM con "listas de conocidos" y para darle un aspecto personal.
El software cliente IM se puede descargar y utilizar en cualquier tipo de host, entre ellos:
computadoras, PDA y teléfonos celulares.
119
6.2.6 Clientes y servidores de voz
Realizar llamadas telefónicas por medio de Internet es cada vez más común. Un cliente
de telefonía por Internet emplea tecnología peer-to-peer similar a la que utiliza la
mensajería instantánea. La telefonía IP aprovecha la tecnología de voz sobre IP (VoIP)
que utiliza paquetes IP para transmitir la voz digitalizada como datos.
Para comenzar a utilizar la telefonía por Internet, descargue el software cliente de una de
las empresas que prestan el servicio. Las tarifas de los servicios de telefonía por Internet
pueden variar enormemente según la región y el proveedor.
Una vez instalado el software, el usuario selecciona un nombre exclusivo. De esta manera,
los usuarios pueden recibir llamadas de otros usuarios. Se necesitan altavoces y un
micrófono, ya sea incorporados o independientes. También se suele conectar a la
computadora un auricular para usarlo como teléfono.
Para llamar a otros usuarios del mismo servicio por Internet se debe seleccionar el
nombre de usuario de una lista. Para realizar una llamada a un teléfono común (de línea o
celular), se necesita una gateway para acceder a la red pública de telefonía conmutada
(PSTN, Public Switched Telephone Network).
Los protocolos y los puertos de destino que utilizan las aplicaciones de telefonía por
Internet pueden variar según el software.
120
6.2.7 Números de puerto
DNS, Web, e-mail, FTP, IM y VoIP son sólo algunos de los muchos servicios que
proporcionan los sistemas cliente-servidor mediante Internet. Estos servicios pueden ser
prestados por un solo servidor o muchos servidores.
En cualquiera de estos casos es necesario que el servidor conozca el servicio que solicita
el cliente. Las solicitudes del cliente se pueden identificar porque se realizan a un puerto
de destino específico. Los clientes se preconfiguran para usar un puerto de destino que ya
está registrado en Internet para cada servicio.
Los puertos se dividen en tres categorías y abarcan desde el número 1 hasta el 65 535.
Una organización conocida como la Corporación de Internet para la Asignación de
Nombres y Números (ICANN, Corporation for Assigned Names and Numbers)
Puertos conocidos
Los puertos de destino que están asociados a aplicaciones de red comunes se identifican
como puertos conocidos. Estos puertos abarcan del 1 al 1023.
Puertos registrados
Los puertos del 1024 al 49 151 se pueden utilizar como puertos de origen o de destino.
Las organizaciones los utilizan para registrar aplicaciones específicas, como las
aplicaciones IM.
Puertos privados
Los puertos del 49 152 al 65 535 a menudo se utilizan como puertos de origen. Estos
puertos pueden ser utilizados por cualquier aplicación.
121
6.3 Modelo en capas y protocolos
6.3.1 Interacción de protocolos
Para la comunicación correcta entre hosts, es necesaria la interacción entre una serie de
protocolos. Estos protocolos se implementan en software y hardware que se cargan en
cada host y dispositivo de red.
La interacción entre los protocolos se puede describir como una stack de protocolos. Esta
stack muestra los protocolos como una jerarquía en capas, donde cada protocolo de nivel
superior depende de los servicios de los protocolos que se muestran en los niveles
inferiores.
El gráfico muestra una stack de protocolos con los protocolos principales necesarios para
ejecutar un servidor Web mediante Ethernet. Las capas inferiores de la stack tienen que
ver con la transferencia de datos por la red y con la provisión de servicios a las capas
superiores. Las capas superiores se concentran en el contenido del mensaje que se envía
y en la interfaz de usuario.
122
Para visualizar la interacción entre los diversos protocolos se suele utilizar un modelo en
capas. Este modelo describe la operación de los protocolos que se produce en cada capa
y la interacción con las capas que se encuentran por encima y por debajo de ellos.
Cuando se envían mensajes en una red, la stack de protocolos de un host opera desde
las capas superiores hacia las capas inferiores. En el ejemplo del servidor Web, el
explorador del cliente solicita una página Web a un servidor Web del puerto de destino 80.
Con esto se inicia el proceso de enviar una página Web al cliente.
123
A medida que la página Web va bajando a la stack de protocolos del servidor Web, los
datos de la aplicación se dividen en segmentos TCP. A cada segmento TCP se le asigna
un encabezado que contiene un puerto de origen y de destino.
El segmento TCP encapsula el protocolo HTTP y los datos de usuario HTML de la página
Web, y los envía a la siguiente capa de protocolos inferior, que es IP. Aquí el segmento
TCP se encapsula dentro del paquete IP, el cual le agrega un encabezado IP. Este
encabezado contiene direcciones IP de origen y de destino.
A medida que la NIC del cliente recibe bits, éstos se decodifican y el cliente reconoce la
dirección MAC de destino como propia.
La trama se sube a la stack de protocolos del cliente Web, donde el encabezado Ethernet
(direcciones MAC de origen y de destino) y el tráiler se eliminan (desencapsulan). El resto
del paquete IP y del contenido asciende a la capa IP.
124
6.3.3 Modelo de interconexión de sistemas abiertos
El modelo OSI incluye todas las funciones o tareas asociadas con las comunicaciones
internetwork; no sólo las relacionadas con los protocolos TCP/IP. En comparación con el
modelo TCP/IP, que sólo tiene cuatro capas, el modelo OSI organiza las tareas en siete
grupos más específicos. De esta manera una tarea o un grupo de tareas se asigna a cada
una de las siete capas OSI.
Del mismo modo, las capas inferiores operan sin inconvenientes. Por ejemplo: una
conexión a Internet funciona correctamente cuando se pueden ejecutar varias
aplicaciones al mismo tiempo, como correo electrónico, exploración Web, IM y descarga
de música.
125
La interfaz gráfica del programa Packet Tracer (PT) permite ver datos simulados que se
transmiten entre dos hosts. Utiliza unidades de datos del protocolo (PDU, Protocol Data
Units) para representar tramas de tráfico de la red y muestra información de la stack de
protocolos en las capas correspondientes del modelo OSI.
En el gráfico, la solicitud del cliente Web es recibida por la tarjeta de interfaz de red (NIC,
Network Interface Card) de Ethernet en el servidor Web. La siguiente información se
muestra en las capas OSI 1 a 4.
126
127
Capítulo 7. Tecnologías inalámbricas
Además de la red conectada por cable, existen varias tecnologías que permiten la
transmisión de información entre hosts sin cables. Esas tecnologías se conocen como
tecnologías inalámbricas.
Infrarrojo
La energía infrarroja (IR) es una energía relativamente baja y no puede atravesar paredes
ni obstáculos. Sin embargo, se usa comúnmente para conectar y transportar datos entre
dispositivos como asistentes digitales personales (PDA, personal digital assistants) y PC.
Un puerto de comunicación especializado, conocido como puerto de acceso directo
128
infrarrojo (IrDA, infrared direct access) utiliza el infrarrojo para intercambiar información
entre dispositivos. La tecnología IR sólo permite un tipo de conexión uno a uno.
La IR también se utiliza para los dispositivos de control remoto, los mouses inalámbricos y
los teclados inalámbricos. Generalmente se utiliza para comunicaciones de corto rango
dentro de la línea de vista. Sin embargo, se puede reflejar la señal de IR desde los objetos
para ampliar el rango. Para rangos mayores se requieren frecuencias mayores de ondas
electromagnéticas.
Radiofrecuencia (RF)
Las ondas de RF pueden atravesar paredes y otros obstáculos, lo que brinda un mayor
rango que el IR.
Ciertas áreas de bandas de RF se han reservado para el uso de parte de dispositivos sin
licencia, como las LAN inalámbricas, los teléfonos inalámbricos y los periféricos para
computadora. Esto incluye los rangos de frecuencia de 900 MHz, 2,4 GHz y 5 GHz. Estos
rangos se conocen como bandas industriales, científicas y médicas (ISM, industrial
scientific and medical) y pueden usarse con muy pocas restricciones.
Bluetooth es una tecnología que utiliza la banda de 2,4 GHz. Se limita a comunicaciones
de baja velocidad y corto rango, pero tiene la ventaja de comunicarse con muchos
dispositivos al mismo tiempo. Estas comunicaciones de uno a varios dispositivos han
hecho que la tecnología Bluetooth sea el método preferido por sobre IR para conectar
periféricos de computadora, como mouse, teclados e impresoras.
Otras tecnologías que utilizan las bandas de 2,4 GHz y 5 GHz son las modernas
tecnologías LAN inalámbricas que cumplen con los distintos estándares IEEE 802.11. Son
distintas a la tecnología Bluetooth ya que transmiten con un nivel de energía mucho más
alto, lo que les otorga un rango aún mayor.
129
7.1.2 Beneficios y limitaciones de la tecnología inalámbrica
La tecnología inalámbrica permite que las redes se amplíen fácilmente, sin limitaciones de
conexiones de cableado. Los usuarios nuevos y los visitantes pueden unirse a la red
rápida y fácilmente.
Primero, las tecnologías LAN inalámbricas (WLAN, Wireless LAN) utilizan las regiones sin
licencia del espectro de RF. Dado que estas regiones no están reguladas, muchos
dispositivos distintos las utilizan. Como resultado, estas regiones están saturadas y las
señales de distintos dispositivos suelen interferir entre sí. Además, muchos dispositivos,
como los hornos de microondas y los teléfonos inalámbricos, utilizan estas frecuencias y
pueden interferir en las comunicaciones WLAN.
130
7.1.3 Tipos de redes inalámbricas y sus línes divisorias
Las redes inalámbricas se agrupan en tres categorías principales: redes de área personal
inalámbricas (WPAN), redes de área local inalámbricas (WLAN) y redes de área extensa
inalámbricas (WWAN).
WPAN
Es la red inalámbrica más pequeña, utilizada para conectar varios dispositivos periféricos,
como mouse, teclados y PDA, a una computadora. Todos estos dispositivos están
dedicados a un solo host, generalmente mediante la tecnología Bluetooth o IR.
WLAN
La WLAN se usa generalmente para ampliar los límites de la red de área local (LAN, local
wired network). Las WLAN usan la tecnología RF y cumplen con los estándares IEEE
131
802.11. Permiten a muchos usuarios conectarse a una red conectada por cable mediante
un dispositivo conocido como punto de acceso (AP). El punto de acceso proporciona una
conexión entre los hosts inalámbricos y los hosts en una red Ethernet conectada por cable.
WWAN
El estándar IEEE 802.11 rige el entorno WLAN. Existen cuatro enmiendas al estándar
IEEE 802.11 que describen diferentes características para las comunicaciones
inalámbricas. Las enmiendas actualmente disponibles son 802.11a, 802.11b, 802.11g y
802.11n (802.11n no está ratificada en el momento de escribir este documento). Estas
tecnologías se conocen grupalmente con el nombre Wi-Fi, amplia fidelidad.
132
802.11a:
◊ Usa el espectro de RF de 5 GHz.
◊ No es compatible con el espectro de 2,4 GHz, es decir, dispositivos 802.11b/g/n.
◊ El rango es aproximadamente un 33% del rango de 802.11 b/g.
◊ Su implementación resulta relativamente cara comparada con otras tecnologías.
◊ Es cada vez más difícil encontrar un equipo 802.11a compatible.
802.11b:
◊ Primera de las tecnologías de 2,4 GHz.
◊ Máximo de velocidad de transmisión de datos de 11 Mbps.
◊ Rango de aproximadamente 46 m (150 pies) en interiores/96 m (300 pies) en
exteriores.
802.11g:
◊ Tecnologías de 2,4 GHz.
◊ Máximo aumento de velocidad de transmisión de datos de 54 Mbps.
◊ Algunos rangos compatibles con 802.11b.
◊ Compatible con 802.11b.
802.11n:
◊ El más nuevo de los estándares en desarrollo.
◊ Tecnologías de 2,4 GHz (el estándar borrador especifica compatibilidad con 5
GHz).
◊ Extiende el rango y la rendimiento.
◊ Compatible con equipos 802.11g y 802.11b existentes (el estándar borrador
especifica compatibilidad con 802.11a).
133
7.2.2 Componentes de la LAN inalámbrica
Una vez que se adopta un estándar, es importante que todos los componentes dentro de
la WLAN lo cumplan, o que al menos sean compatibles con ese estándar. Existen varios
componentes que deben tenerse en cuenta en WLAN, incluidos: un cliente inalámbrico o
STA, punto de acceso, bridge inalámbrico y una antena.
134
135
Antenas:
◊ Usadas en AP (puntos de acceso) y bridges inalámbricos.
◊ Aumentan la potencia de la señal de salida.
◊ Reciben señales inalámbricas de otros dispositivos como STA.
◊ El aumento en la potencia de la señal desde una antena se conoce como ganancia.
◊ Mayores ganancias se traducen en distancias de transmisión mayores.
Las antenas se clasifican según la manera en que irradian la señal. Las antenas
direccionales concentran la potencia de la señal en una dirección. Las antenas
omnidireccionales están diseñadas para emitir de igual manera en todas las direcciones.
Al concentrar toda la señal en una sola dirección, las antenas direccionales pueden
obtener mayores distancias de transmisión. Las antenas direccionales se usan
generalmente en aplicaciones de bridge, mientras que las antenas omnidireccionales se
encuentran en AP.
Cuando se genera una red inalámbrica es importante que los componentes inalámbricos
se conecten a la WLAN apropiada. Esto se realiza mediante un identificador del servicio
(SSID, Service Set Identifier).
136
Existen dos tipos básicos de instalaciones WLAN: ad hoc y modo de infraestructura.
Ad hoc
La manera más simple de red inalámbrica se crea al conectar dos o más clientes
inalámbricos en una red peer-to-peer. Una red inalámbrica establecida de esta manera se
conoce como red ad-hoc y no incluye AP. Todos los clientes dentro de una red ad-hoc son
iguales. El área cubierta por esta red se conoce como conjunto de servicios básicos
independientes (IBSS, Independent Basic Service Set). Una red ad-hoc simple puede
utilizarse para intercambiar archivos e información entre dispositivos sin el gasto ni la
complejidad de comprar y configurar un AP.
Modo de infraestructura
A pesar de que una configuración ad-hoc puede ser buena para redes pequeñas, las
redes más grandes requieren un solo dispositivo que controle las comunicaciones en la
celda inalámbrica. Si está presente, un AP puede asumir este rol y controlar quién puede
hablar y cuándo. Esto se conoce como modo de infraestructura y es el modo de
comunicación inalámbrica más usado en los entornos domésticos y comerciales. En esta
forma de WLAN, las STA inalámbricas no pueden comunicarse directamente entre sí.
Para comunicarse, cada dispositivo debe obtener un permiso de un AP. El AP controla
todas las comunicaciones y garantiza que todas las STA tengan igual acceso al medio. El
área cubierta por un solo AP se conoce como un conjunto de servicios básicos (BSS,
Basic Service Set) o celda.
El conjunto de servicios básicos (BSS, Basic Service Set) es el elemento básico más
pequeño de una WLAN. El área de cobertura de un solo AP es limitado. Para ampliar el
área de cobertura, se pueden conectar varios BSS mediante un sistema de distribución
(DS). Esto forma un conjunto de servicios extendidos (ESS, Extended Service Set). Un
ESS utiliza varios AP. Cada AP es un BSS separado.
A fin de permitir el movimiento entre las celdas sin que se pierda señal, los BSS deben
superponerse en aproximadamente un 10%. Esto le permite al cliente conectarse a un
segundo AP antes de desconectarse del primero.
137
La mayoría de los entornos domésticos y comerciales consiste en un solo BSS. Sin
embargo, a medida que el área de cobertura requerida y el número de hosts que
necesitan conectarse aumenta, se debe crear un ESS.
Los canales se crean al dividir el espectro de RF disponible. Cada canal puede transportar
una conversación diferente. Esto es similar a la manera en que los distintos canales de
televisión se transmiten por un único medio. Varios AP pueden funcionar muy cerca unos
de otros siempre que utilicen diferentes canales para la comunicación.
Dentro de una WLAN, la falta de límites bien definidos hace imposible detectar si se
producen colisiones durante una transmisión. Por lo tanto es necesario usar un método de
acceso en una red inalámbrica que garantice que no se produzcan dichas colisiones.
138
¿Cómo funciona este proceso de reserva? Si un dispositivo requiere el uso de un canal
específico de comunicación en un BSS, debe solicitar permiso al AP. Esto se conoce
como solicitud para enviar (RTS, Request to Send). Si el canal se encuentra disponible, el
AP responderá al dispositivo con el mensaje de listo para enviar (CTS, Clear to Send),
que indica que el dispositivo puede transmitir por el canal. El mensaje CTS se transmite a
todos los dispositivos dentro del BSS. Por lo tanto todos los dispositivos en el BSS saben
que el canal solicitado está ahora en uso.
Una vez que la conversación se completa, el dispositivo que solicitó el canal envía otro
mensaje, conocido como acuse de recibo (ACK, Acknowledgement) a un AP. El ACK
indica al AP que el canal puede liberarse. Este mensaje se transmite a todos los
dispositivos dentro de la WLAN. Todos los dispositivos dentro del BSS reciben ACK y
saben que el canal está nuevamente disponible.
La mayoría de los routers integrados ofrece conectividad por cable o inalámbrica y sirve
como AP en la red inalámbrica. Las configuraciones básicas (como contraseñas,
direcciones IP y configuraciones DHCP) son las mismas, independientemente de si el
dispositivo se utiliza para conectar hosts con cable o host inalámbricos. Las tareas de
configuración básicas, como cambiar la contraseña por defecto, se deben realizar antes
de que el AP se conecte a una red activa.
139
Modo inalámbrico
SSID
El SSID se utiliza para identificar la WLAN. Todos los dispositivos que deseen participar
en la WLAN deben tener el mismo SSID. Para permitir una fácil detección de la WLAN por
parte de los clientes se transmite el SSID. Se puede deshabilitar la característica de
transmisión del SSID. Si no se transmite el SSID los clientes inalámbricos necesitarán
configurar este valor manualmente.
Canal inalámbrico
La elección del canal para un AP debe estar relacionada con las otras redes inalámbricas
que lo rodean. Los BSS adyacentes deben utilizar canales que no se superpongan a fin
de optimizar el rendimiento. La mayoría de los AP actualmente ofrece una opción de
configuración manual del canal o permite al AP localizar automáticamente el canal menos
saturado o el que ofrezca el máximo rendimiento.
140
7.2.6 Configuración del cliente inalámbrico
Un host inalámbrico o STA se define como cualquier dispositivo que contenga una NIC
inalámbrica y un software cliente inalámbrico. Este software cliente le permite al hardware
participar en la WLAN. Los dispositivos que son STA incluyen: computadoras portátiles,
PDA, computadoras de escritorio, impresoras, proyectores y teléfonos Wi-Fi.
A fin de que una STA se conecte a la WLAN, la configuración del cliente debe coincidir
con la del AP. Esto incluye el SSID, las configuraciones de seguridad y la información del
canal, si éste se configuró manualmente en el AP. Estas configuraciones están
especificadas en el software cliente que administra la conexión cliente.
El software cliente inalámbrico utilizado puede estar integrado por software al sistema
operativo del dispositivo o puede ser un software de utilidad inalámbrica, independiente y
descargable, diseñado específicamente para interactuar con la NIC inalámbrica.
141
Una vez que se configure el software cliente, verifique el enlace entre el cliente y el AP.
Abra la pantalla de información del enlace inalámbrico para mostrar datos como la
velocidad de transmisión de datos de la conexión, el estado de conexión y el canal
inalámbrico usado. Si está disponible, la característica Información de enlace muestra la
potencia de señal y la calidad de la señal inalámbrica actuales.
Además de verificar el estado de la conexión inalámbrica, verifique que los datos puedan
transmitirse. Una de las pruebas más comunes para verificar si la transmisión de datos se
realizó correctamente es la prueba de ping. Si el ping se realiza correctamente se puede
realizar la transmisión de datos.
142
7.3 Consideraciones de seguridad en una LAN inalámbrica
7.3.1 ¿Por qué son atacadas las WLAN?
El atacante puede tener acceso a su red desde cualquier ubicación a la que llegue su
señal inalámbrica. Una vez que el atacante posee acceso a su red puede usar sus
servicios de Internet de manera gratuita y puede tener acceso a las computadoras de la
red para dañar sus archivos o robar información personal o privada.
Una fácil manera de obtener acceso a una red inalámbrica es utilizar el nombre de la red
o SSID.
Todas las computadoras que se conecten a una red inalámbrica deben conocer el SSID.
Por defecto, los routers inalámbricos y los AP transmiten el SSID a todas las
computadoras dentro del rango inalámbrico. Con el broadcast de SSID activado, cualquier
cliente inalámbrico puede detectar la red y conectarse a ella, si no existen otras
características de seguridad.
143
Además, es importante cambiar las configuraciones por defecto. Los dispositivos
inalámbricos se envían preconfigurados con SSID, contraseña y direcciones IP. Estos
valores por defecto facilitan la identificación y la infiltración en la red por parte de un
atacante.
Incluso con el broadcast de SSID desactivado se puede entrar a una red utilizando el
conocido SSID por defecto. Además, si otras configuraciones por defecto, como
contraseñas y direcciones IP, no se cambian, los atacantes pueden tener acceso a un AP
y hacer cambios por su cuenta. La información por defecto debe cambiarse por otra más
segura y exclusiva.
Estos cambios, por sí mismos, no protegerán su red. Por ejemplo: los SSID se transmiten
en texto sin cifrar. Existen dispositivos que interceptarán las señales inalámbricas y leerán
mensajes de texto sin cifrar. Incluso con el broadcast de SSID desactivado y los valores
por defecto cambiados, los atacantes pueden conocer el nombre de una red inalámbrica
mediante el uso de estos dispositivos que interceptan señales inalámbricas. Esta
información se utilizará para la conexión a la red. Para proteger la WLAN, se necesita una
combinación de varios métodos.
Una manera de limitar el acceso a una red inalámbrica es controlar exactamente qué
dispositivos pueden obtener acceso a ella. Esto puede lograrse mediante el filtrado de la
dirección MAC.
El filtrado de direcciones MAC utiliza la dirección MAC para identificar qué dispositivos
pueden conectarse a la red inalámbrica. Cuando un cliente inalámbrico intenta conectarse
o asociarse con un AP envia la información de la dirección MAC. Si está activado el
filtrado MAC, el router inalámbrico o el AP buscarán la dirección MAC en una lista
preconfigurada. Sólo los dispositivos con direcciones MAC pregrabadas en la base de
datos del router podrán conectase.
144
Existen algunos problemas con este tipo de seguridad. Por ejemplo: requiere que se
incluyan en la base de datos las direcciones MAC de todos los dispositivos que tendrán
acceso a la red antes de que se intente la conexión. No podrá conectarse un dispositivo
que no esté identificado en la base de datos. Además, el dispositivo de un atacante puede
clonar la dirección MAC de otro dispositivo que tiene acceso.
Autenticación abierta
145
Con las PSK, tanto el AP como el cliente deben configurarse con la misma clave o palabra
secreta. El AP envía una cadena de bytes aleatoria al cliente. El cliente acepta la cadena,
la encripta (o codifica) según la clave, y la envía nuevamente al AP. El AP recibe la
cadena encriptada y usa la clave para descifrarla (o decodificarla). Si la cadena descifrada
recibida del cliente coincide con la cadena original enviada al cliente, éste puede
conectarse.
La PSK realiza una autenticación de una vía, es decir, el host se autentica ante el AP. La
PSK no autentica el AP ante el host; tampoco autentica el usuario real del host.
146
Una vez que se habilita la autenticación, independientemente del método utilizado, el
cliente debe pasar la autenticación correctamente antes de asociarse con el AP. Si se
habilitan la autenticación y el filtrado de la dirección MAC, la autenticación se produce
primero.
La autenticación y el filtrado MAC pueden evitar que un atacante se conecte a una red
inalámbrica, pero no evitarán que intercepte los datos transmitidos. Dado que no existen
límites distintivos en una red inalámbrica y que el tráfico se transmite por aire, es fácil para
un atacante interceptar o detectar tramas inalámbricas. La encriptación es el proceso de
transformar datos de manera que, aunque sean interceptados, queden inutilizables.
147
Una clave WEP se introduce como una cadena de números y letras, y generalmente
consta de 64 ó 128 bits. En algunos casos, el WEP admite también claves de 256 bits.
Para simplificar la creación y la introducción de estas claves, muchos dispositivos incluyen
la opción por contraseña. La opción por contraseña es una fácil manera de recordar la
palabra o frase usada para generar automáticamente una clave.
A fin de que el WEP funcione, el AP (y cualquier otro dispositivo inalámbrico que tenga
habilitado el acceso a la red) deberá tener la misma clave WEP introducida. Sin esta clave,
los dispositivos no podrán comprender las transmisiones inalámbricas.
El WEP es una excelente manera de evitar que los atacantes intercepten datos. Sin
embargo, existen puntos débiles dentro del WEP, por ejemplo el uso de una clave estática
en todos los dispositivos con WEP habilitado. Existen aplicaciones disponibles que los
atacantes pueden utilizar para descubrir la clave WEP. Estas aplicaciones se encuentran
disponibles fácilmente en Internet. Una vez que el atacante ha extraído la clave, tiene
acceso completo a toda la información transmitida.
Una manera de superar este punto débil es cambiar la clave frecuentemente. Otra manera
es usar una forma de encriptación más avanzada y segura, conocida como acceso
protegido Wi-Fi (WPA, Wi-Fi Protected Access).
El WPA también utiliza claves de encriptación de 64 a 256 bits. Sin embargo, el WPA, a
diferencia del WEP, genera nuevas claves dinámicas cada vez que un cliente establece
una conexión con el AP. Por esta razón el WPA se considera más seguro que el WEP, ya
que es mucho más difícil de decodificar.
Además de controlar quién puede obtener acceso a una WLAN y quién puede usar los
datos transmitidos, también es importante controlar los tipos de tráfico que se transmiten
en una WLAN. Esto se logra mediante el filtrado de tráfico.
El filtrado de tráfico bloquea el tráfico no deseado y evita que entre en la red inalámbrica o
salga de ella. El AP realiza el filtrado a medida que el tráfico pasa a través de él. Puede
utilizarse para eliminar el tráfico desde una dirección IP o MAC específica, o hacia ella.
También puede bloquear ciertas aplicaciones por número de puerto. Al quitar de la red el
tráfico no deseado y sospechoso, el ancho de banda se destina al movimiento de tráfico
importante y mejora el rendimiento de la WLAN. Por ejemplo: el filtrado de tráfico puede
utilizarse para bloquear todo el tráfico telnet destinado a una máquina en especial, como
el servidor de autenticación. Cualquier intento de hacer telnet al servidor de autenticación
se considerará sospechoso y se bloqueará.
148
7.4 Configuración de un AP integrado y cliente inalámbrico
7.4.1 Planificación de WLAN
Estándar inalámbrico
Se deben considerar varios factores a la hora de determinar qué estándar WLAN utilizar.
Los factores más comunes incluyen: requerimientos de ancho de banda, áreas de
cobertura, implementaciones existentes y costo. Esta información se reúne al determinar
los requerimientos del usuario final.
La mejor manera de conocer los requerimientos del usuario final es realizar preguntas.
◊ ¿Qué rendimiento requieren actualmente las aplicaciones que se ejecutan en la
red?
◊ ¿Cuántos usuarios tendrán acceso a la WLAN?
◊ ¿Cuál es el área de cobertura necesaria?
◊ ¿Qué es la estructura de red existente?
◊ ¿Cuál es el presupuesto?
El ancho de banda disponible en el BSS debe compartirse entre todos los usuarios de ese
BSS. Incluso si las aplicaciones no requieren una conexión de alta velocidad, puede ser
necesaria una tecnología de mayor velocidad si varios usuarios se conectan al mismo
tiempo.
Distintos estándares admiten diferentes áreas de cobertura. La señal de 2,4 GHz usada
en las tecnologías 802.11 b/g/n viaja una distancia mayor que la señal de 5 GHz usada en
las tecnologías 802.11a. Por lo tanto, 802.11 b/g/n admite un BSS mayor. Esto se traduce
en menos equipos y un costo de implementación menor.
149
La red existente también afecta la nueva implementación de los estándares WLAN. Por
ejemplo: el estándar 802.11n es compatible con 802.11g y 802.11b, pero no con 802.11a.
Si el equipo y la infraestructura de red existentes admiten 802.11a, las nuevas
implementaciones deben admitir el mismo estándar.
En todos los casos es necesario considerar fuentes conocidas de interferencia, como los
cables de alto voltaje, los motores y otros dispositivos inalámbricos, en el momento de
determinar la ubicación del equipo WLAN.
Una vez que determine la mejor tecnología y la ubicación del AP, instale el dispositivo
WLAN y configure el AP con medidas de seguridad. Las medidas de seguridad deben
planificarse y configurarse antes de conectar el AP a la red o al ISP.
150
◊ Configuración de filtrado de tráfico.
Tenga en cuenta que ninguna medida de seguridad por sí sola mantendrá la red
inalámbrica completamente segura. La combinación de varias técnicas reforzará la
integridad del plan de seguridad.
A la hora de configurar los clientes, es fundamental que el SSID coincida con el SSID
configurado en el AP. Además, las claves de encriptación y autenticación también deben
coincidir.
Una vez que la red inalámbrica está configurada correctamente y exista tráfico, se debe
realizar una copia de seguridad de la configuración en los dispositivos inalámbricos. Esto
es muy importante si la configuración está muy personalizada.
Ya que la mayoría de los routers integrados está diseñada para los mercados domésticos
y para pequeñas empresas, solamente es necesario seleccionar la opción Backup
Configurations desde el menú correspondiente y especificar la ubicación donde debe
guardarse el archivo. El router integrado proporciona un nombre por defecto para el
archivo de configuración. Este nombre de archivo puede cambiarse.
151
7.4.4 Actualización del firmaware
152
Capítulo 8. Seguridad básica
8.1 Amenazas de red
8.1.1 Riesgos de intrusiones en la red
Sin importar si están conectadas por cable o de manera inalámbrica, las redes de
computadoras cada vez se tornan más esenciales para las actividades diarias. Tanto las
personas como las organizaciones dependen de sus computadores y de las redes para
funciones como correo electrónico, contabilidad, organización y administración de
archivos. Las intrusiones de personas no autorizadas pueden causar interrupciones
costosas en la red y pérdidas de trabajo. Los ataques a una red pueden ser devastadores
y pueden causar pérdida de tiempo y de dinero debido a los daños o robos de información
o de activos importantes.
Los intrusos pueden obtener acceso a la red a través de vulnerabilidades del software,
ataques al hardware o incluso a través de métodos menos tecnológicos, como el de
adivinar el nombre de usuario y la contraseña de una persona. Por lo general, a los
intrusos que obtienen acceso mediante la modificación del software o la explotación de las
vulnerabilidades del software se los denomina piratas informáticos.
Una vez que el pirata informático obtiene acceso a la red, pueden surgir cuatro tipos de
amenazas:
◊ Robo de información
◊ Robo de identidad
◊ Pérdida/manipulación de datos
◊ Interrupción del servicio
Las amenazas de seguridad causadas por intrusos en la red pueden originarse tanto en
forma interna como externa.
153
Amenazas externas
Las amenazas externas provienen de personas que trabajan fuera de una organización.
Estas personas no tienen autorización para acceder al sistema o a la red de la
computadora. Los atacantes externos logran ingresar a la red principalmente desde
Internet, enlaces inalámbricos o servidores de acceso dial-up.
Amenazas internas
Las amenazas internas se originan cuando una persona cuenta con acceso autorizado a
la red a través de una cuenta de usuario o tiene acceso físico al equipo de la red. Un
atacante interno conoce la política interna y las personas. Por lo general, conocen
información valiosa y vulnerable y saben cómo acceder a ésta.
Sin embargo, no todos los ataques internos son intencionales. En algunos casos la
amenaza interna puede provenir de un empleado confiable que capta un virus o una
amenaza de seguridad mientras se encuentra fuera de la compañía y, sin saberlo, lo lleva
a la red interna.
La mayor parte de las compañías invierte recursos considerables para defenderse contra
los ataques externos; sin embargo, la mayor parte de las amenazas son de origen interno.
De acuerdo con el FBI, el acceso interno y la mala utilización de los sistemas de
computación representan aproximadamente el 70% de los incidentes de violación de
seguridad notificados.
Para un intruso, una de las formas más fáciles de obtener acceso, ya sea interno o
externo, es el aprovechamiento de las conductas humanas. Uno de los métodos más
comunes de explotación de las debilidades humanas se denomina ingeniería social.
Ingeniería social
Ingeniería social es un término que hace referencia a la capacidad de algo o alguien para
influenciar la conducta de un grupo de personas. En el contexto de la seguridad de
computadores y redes, la ingeniería social hace referencia a una serie de técnicas
154
utilizadas para engañar a los usuarios internos a fin de que realicen acciones específicas
o revelen información confidencial.
Los ataques de ingeniería social aprovechan el hecho de que a los usuarios generalmente
se los considera uno de los enlaces más débiles en lo que se refiere a la seguridad. Los
ingenieros sociales pueden ser internos o externos a la organización; sin embargo, por lo
general no conocen a sus víctimas cara a cara.
Tres de las técnicas más comúnmente utilizadas en la ingeniería social son: pretextar,
suplantación de identidad y vishing.
Pretextar
El pretexto es una forma de ingeniería social en la que se utiliza una situación inventada
(el pretexto) para que una víctima divulgue información o lleve a cabo una acción.
Generalmente, el contacto con el objetivo se establece telefónicamente. Para que el
pretexto sea efectivo el atacante deberá establecer la legitimidad con la víctima o el
objetivo deseado. Esto requiere, por lo general, que el atacante cuente con conocimientos
o investigaciones previas. Por ejemplo: si el atacante conoce el número de seguro social
del objetivo, puede utilizar esta información para ganar la confianza de su objetivo. De
esta manera es más probable que el objetivo divulgue información.
Suplantación de identidad
El vishing es una nueva forma de ingeniería social que utiliza el sistema de voz sobre IP
(VOIP). Con el vishing, un usuario desprevenido recibe un correo de voz donde se le
solicita que llame a un número telefónico que parece ser un servicio de banca telefónica
legítimo. A continuación, la llamada es interceptada por un ladrón. De esta forma se roban
los números de cuentas bancarias o las contraseñas introducidas telefónicamente para
verificación.
155
8.2 Métodos de ataque
Además de la ingeniería social, existen otros tipos de ataques que explotan las
vulnerabilidades de los software de computadoras. Algunos ejemplos de técnicas de
ataque son: virus, gusanos y caballos de Troya Todos estos son tipos de software
maliciosos que se introducen en un host. Pueden dañar un sistema, destruir datos y
también denegar el acceso a redes, sistemas o servicios. También pueden enviar datos y
detalles personales de usuarios de PC desprevenidos a delincuentes. En muchos casos,
pueden replicarse y propagarse a otros hosts conectados a la red.
Virus
Gusanos
Caballos de Troya
Un caballo de Troya es un programa que no se replica por sí mismo y que se escribe para
asemejarse a un programa legítimo, cuando en realidad se trata de una herramienta de
ataque. Un caballo de Troya se basa en su apariencia legítima para engañar a una victima
a fin de que inicie el programa. Puede ser relativamente inofensivo o contener códigos
que pueden dañar el contenido del disco duro de la computadora. Los troyanos también
pueden crear una puerta trasera en un sistema para permitir que los piratas informáticos
obtengan acceso.
156
8.2.2 Denegación de servicio y ataques de fuerza
Los ataques DoS son ataques agresivos sobre una computadora personal o un grupo de
computadoras con el fin de denegar el servicio a los usuarios a quienes está dirigido. Los
ataques DoS tienen como objetivo sistemas de usuarios finales, servidores, routers y
enlaces de red.
Existen varios tipos de ataques DoS. Los administradores de redes deben estar al tanto
de los tipos de ataques DoS que se pueden producir a fin de asegurarse de que sus redes
estén protegidas. Dos tipos comunes de ataques DoS son:
Flooding SYN (sincrónica): se envía una gran cantidad de paquetes a un servidor, para
solicitar una conexión de cliente. Los paquetes contienen direcciones IP de origen no
válidas. El servidor se ocupa de responder a estas solicitudes falsas y, por lo tanto, no
puede responder a las solicitudes legítimas.
Ping of death: se envía a un dispositivo un paquete con un tamaño mayor que el máximo
permitido por el IP (65 535 bytes). Esto puede hacer que el sistema receptor colapse.
La DDoS es una forma de ataque DoS más sofisticada y potencialmente más perjudicial.
Está diseñada para saturar y sobrecargar los enlaces de red con datos inútiles. Los
ataques DDoS operan en una escala mucho mayor que los ataques DoS. Generalmente,
cientos o miles de puntos de ataque intentan saturar un objetivo al mismo tiempo. Los
puntos de ataque pueden ser computadoras inadvertidas que ya hayan sido infectadas
por el código DDoS. Cuando son invocados, los sistemas infectados con el código DDoS
atacan el sitio del objetivo.
Fuerza bruta
No todos los ataques que provocan interrupciones en la red son ataques DoS específicos.
Un ataque de fuerza bruta es otro tipo de ataque que puede causar la denegación de
servicio.
En los ataques de fuerza bruta se utiliza una computadora veloz para tratar de adivinar
contraseñas o para descifrar un código de encriptación. El atacante prueba una gran
cantidad de posibilidades de manera rápida y sucesiva para obtener acceso o descifrar el
código. Los ataques de fuerza bruta pueden causar una denegación de servicio debido al
tráfico excesivo hacia un recurso específico o al bloqueo de las cuentas de usuario.
157
8.2.3 Spyware, cookies de seguimiento, adwara y elementos emergentes
No todos los ataques causan daños o evitan que los usuarios legítimos tengan acceso a
los recursos. Muchas amenazas están diseñadas para recopilar información acerca de los
usuarios que, a su vez, puede utilizarse con fines de publicidad, comercialización e
investigación. Algunas de estas amenazas son el spyware, las cookies de seguimiento, el
adware y los elementos emergentes. Si bien es posible que éstos no dañen la
computadora, sí pueden invadir la privacidad y generar molestias.
Spyware
Cookies de seguimiento
Las cookies son un tipo de spyware, pero no siempre son perjudiciales. Se utilizan para
registrar información de los usuarios de Internet cuando visitan sitios Web. Las cookies
pueden ser útiles o convenientes, ya que permiten la personalización y otras técnicas que
ahorran tiempo. Muchos sitios Web requieren que las cookies estén habilitadas para que
el usuario pueda conectarse.
Adware
158
8.2.4 Correo no deseado
Otro de los molestos productos derivados de nuestra confianza cada vez mayor en las
comunicaciones electrónicas es el tráfico de correo electrónico no deseado. En algunas
ocasiones, los comerciantes no desean perder tiempo con el marketing orientado. Desean
enviar sus publicidades por correo electrónico a tantos usuarios finales como sea posible,
con la esperanza de que alguien se interese en su producto o servicio. Este enfoque de
marketing de amplia distribución en Internet se conoce como correo no deseado.
El correo no deseado es una amenaza seria para las redes, ya que puede sobrecargar los
ISP, los servidores de correo electrónico y los sistemas individuales de usuario final. A la
persona u organización responsable de enviar el correo no deseado se la denomina
spammer. Para enviar el correo electrónico los spammers utilizan, por lo general, los
servidores de correo electrónico que no están protegidos por contraseña. Los spammers
pueden utilizar técnicas de pirateo informático, como virus, gusanos y caballos de Troya
para tomar control de las computadoras domésticas. A continuación, estas computadoras
se utilizan para enviar correo no deseado sin conocimiento del propietario. El correo no
deseado puede enviarse por correo electrónico o, más recientemente, por medio de
software de mensajería instantánea.
Se calcula que cada usuario de Internet recibe más de 3000 correos no deseados en un
año. El correo no deseado consume grandes cantidades de ancho de banda de Internet y
es un problema tan serio que algunos países ya tienen leyes que regulan su uso.
Una política de seguridad es una declaración formal de las normas que los usuarios
deben respetar a fin de acceder a los bienes de tecnología e información. Puede ser tan
simple como una política de uso aceptable o contener muchas páginas y detallar cada
aspecto de conectividad de los usuarios, así como los procedimientos de uso de redes. La
política de seguridad debe ser el punto central acerca de la forma en la que se protege, se
supervisa, se evalúa y se mejora una red. Mientras que la mayoría de los usuarios
domésticos no tiene una política de seguridad formal por escrito, a medida que una red
crece en tamaño y en alcance, la importancia de una política de seguridad definida para
todos los usuarios aumenta drásticamente. Algunos de los puntos que deben incluirse en
una política de seguridad son: políticas de identificación y autenticación, políticas de
contraseñas, políticas de uso aceptable, políticas de acceso remoto y procedimientos para
el manejo de incidentes.
159
Cuando se desarrolla una política de seguridad es necesario que todos los usuarios de la
red la cumplan y la sigan para que sea efectiva.
La política de seguridad debe ser el punto central acerca de la forma en la que se protege,
se supervisa, se evalúa y se mejora una red. Los procedimientos de seguridad
implementan políticas de seguridad. Los procedimientos definen la configuración, el inicio
de sesión, la auditoría y los procesos de mantenimiento de los hosts y dispositivos de red.
Incluyen la utilización tanto de medidas preventivas para reducir el riesgo como de
medidas activas acerca de la forma de manejar las amenazas de seguridad conocidas.
Los procedimientos de seguridad abarcan desde tareas simples y poco costosas, como el
mantenimiento de las versiones actualizadas de software, hasta implementaciones
complejas de firewalls y sistemas de detección de intrusiones.
160
◊ Parches y actualizaciones de software
◊ Protección contra virus
◊ Protección contra spyware
◊ Bloqueadores de correo no deseado
◊ Bloqueadores de elementos emergentes
◊ Firewalls
Uno de los métodos más comunes que utiliza un pirata informático para obtener acceso a
los hosts y/o a las redes es atacar las vulnerabilidades del software. Es importante
mantener las aplicaciones de software actualizadas con los últimos parches y
actualizaciones de seguridad a fin de ayudar a evitar las amenazas. Un parche es un
pequeño código que corrige un problema específico. Por otro lado, una actualización
puede incluir funciones adicionales al paquete de software y también parches para
problemas específicos.
Aun cuando los SO y las aplicaciones tengan todos los parches y actualizaciones actuales,
pueden seguir siendo vulnerables a ataques. Todo dispositivo conectado a una red es
vulnerable a virus, gusanos y caballos de Troya. Éstos pueden utilizarse para dañar el
código del SO, afectar el rendimiento de una computadora, alterar las aplicaciones y
destruir los datos.
161
Software antivirus
El software antivirus puede utilizarse como herramienta preventiva o reactiva. Previene las
infecciones y detecta y elimina virus, gusanos y caballos de Troya. El software antivirus
debe estar instalado en todas las computadoras conectadas a la red. Existen muchos
programas antivirus disponibles.
Algunas de las funciones que pueden incluirse en los programas antivirus son:
Verificación de correo electrónico: escanea los correos electrónicos entrantes y salientes
e identifica los archivos adjuntos sospechosos.
Escaneo dinámico de residentes: verifica los archivos y documentos ejecutables cuando
se accede a éstos.
Escaneos programados: es posible programar escaneos de virus para que se ejecuten a
intervalos regulares y verificar controladores específicos o toda la computadora.
Actualizaciones automáticas: verifican y descargan características y patrones de virus
conocidos. Se pueden programar para efectuar una verificación regular de actualizaciones.
El software antivirus depende del conocimiento del virus para poder eliminarlo. Por lo
tanto, cuando se identifica, es importante notificar al administrador de red acerca del virus
o de cualquier comportamiento que se asemeje a un virus. Generalmente, esto se lleva a
cabo al enviar un informe de incidentes de acuerdo con la política de seguridad de redes
de la empresa.
El correo no deseado no sólo es molesto, sino que también puede sobrecargar los
servidores de correo electrónico y potencialmente transportar virus y otras amenazas de
seguridad. Asimismo, los spammers toman control de un host al implementar un código
en forma de virus o caballo de Troya. Posteriormente, el host se utiliza para enviar correo
no deseado sin el conocimiento del usuario. Una computadora infectada de esta forma se
conoce como fábrica de correo no deseado.
162
◊ Aplicar actualizaciones de SO y aplicaciones cuando estén disponibles.
◊ Ejecutar los programas antivirus regularmente para mantenerlos actualizados.
◊ No reenviar correos electrónicos sospechosos.
◊ No abrir archivos adjuntos de correos electrónicos, en especial de personas
desconocidas.
◊ Establecer reglas en el correo electrónico para borrar el correo no deseado que
logre ignorar al software contra correo no deseado.
◊ Identificar las fuentes de correo no deseado y notificarlas al administrador de red
para que puedan bloquearse.
◊ Notificar incidentes a la agencia gubernamental que se ocupa del abuso del correo
no deseado.
Uno de los tipos más comunes de correo no deseado enviado son las advertencias contra
virus. Si bien algunas advertencias contra virus enviadas por correo electrónico son reales,
una gran cantidad de ellas no es cierta y no existe realmente. Este tipo de correo no
deseado puede ocasionar problemas, ya que las personas le advierten a otras acerca de
los probables desastres, y de esta manera inundan el sistema de correos electrónicos.
Además, los administradores de redes pueden exagerar y perder tiempo investigando un
problema que no existe. Finalmente, muchos de estos correos electrónicos, en realidad,
pueden contribuir a la propagación de virus, gusanos y caballos de Troya. Antes de
reenviar correos electrónicos sobre advertencia contra virus, verifique en una fuente
confiable que el virus sea real. Algunas fuentes son: http://vil.mcafee.com/hoax.asp o
http://hoaxbusters.ciac.org/
8.3.5 Antispyware
Antispyware y adware
El spyware y el adware también pueden causar síntomas similares a los de los virus.
Además de recopilar información no autorizada, pueden utilizar recursos importantes de la
computadora y afectar el rendimiento. El software antispyware detecta y elimina las
aplicaciones de spyware y también evita las instalaciones futuras. Muchas aplicaciones
antispyware también incluyen la detección y la eliminación de cookies y adware. Algunos
paquetes antivirus incluyen funciones antispyware.
163
8.4 Uso de firewalls
8.4.1 ¿Qué es un firewall?
Los productos de firewall pueden admitir una o más de estas capacidades de filtrado.
Además, los firewalls llevan a cabo, por lo general, traducción de direcciones de red
(NAT). NAT traduce una dirección interna o un grupo de direcciones en una dirección
pública y externa que se envía a través de la red. Esto permite ocultar las direcciones IP
internas de los usuarios externos.
164
◊ Firewalls basados en aplicaciones: un firewall basado en una aplicación es un
firewall incorporado en un dispositivo de hardware dedicado, conocido como una
aplicación de seguridad.
◊ Firewalls basados en servidores: un firewall basado en servidores consta de una
aplicación de firewall que se ejecuta en un sistema operativo de red (NOS), como
UNIX, Windows o Novell.
◊ Firewalls integrados: se implementa un firewall integrado al añadir funcionalidades
de hardware en un dispositivo existente, como un router.
◊ Firewalls personales: los firewalls personales residen en las computadoras host y
no están diseñados para implementaciones LAN. Pueden estar disponibles por
defecto en el SO o pueden ser instalados por un proveedor externo.
Un solo firewall tiene tres áreas, una para la red externa, una para la red interna y otra
para la DMZ. Desde la red externa se envía todo el tráfico al firewall. A continuación, se
requiere el firewall para supervisar el tráfico y determinar qué tráfico debe pasar a la DMZ,
qué tráfico debe pasar internamente y qué tráfico debe denegarse por completo.
165
Configuración de dos firewalls
En una configuración de dos firewalls hay un firewall interno y uno externo, con una DMZ
ubicada entre ellos. El firewall externo es menos restrictivo y permite al usuario de Internet
acceder a los servicios en la DMZ; además, concede al usuario externo cualquier solicitud
de atravesar el tráfico. El firewall interno es más restrictivo y protege la red interna contra
el acceso no autorizado.
Una configuración de un solo firewall es apropiada para las redes más pequeñas y menos
congestionadas. Sin embargo, una configuración de un solo firewall tiene un único punto
de falla y puede sobrecargarse. Una configuración de dos firewalls es más adecuada para
redes más grandes y complejas que manejan mucho más tráfico.
Por lo general, muchos dispositivos de redes domésticas, como los routers integrados,
incluyen un software de firewall multifunción. Este firewall proporciona, comúnmente,
traducción de direcciones de red (NAT); inspección de paquetes con estado (SPI);
funciones de filtrado de IP, de aplicaciones y de sitios Web. También admite funciones de
DMZ.
Con el router integrado se puede configurar una DMZ simple que permita a los hosts
externos acceder al servidor interno. Para lograr esto el servidor requiere una dirección IP
estática que debe especificarse en la configuración DMZ. El router integrado identifica el
tráfico destinado a la dirección IP especificada. Posteriormente este tráfico se envía
solamente al puerto del switch donde está conectado el servidor. Todos los demás hosts
siguen protegidos por el firewall.
Cuando se habilita la DMZ, en su forma más simple, los hosts externos pueden acceder a
todos los puertos del servidor, como 80 (HTTP), 21 (FTP) y 110 (correo electrónico POP3),
etc.
Se puede configurar una DMZ más restrictiva mediante la capacidad de reenvío de los
puertos. Mediante el reenvío de puertos se especifican los puertos que deben estar
accesibles en el servidor. En este caso, sólo el tráfico destinado a estos puertos está
permitido, y todo el tráfico restante se excluye.
El punto de acceso inalámbrico dentro del router integrado se considera parte de la red
interna. Es importante notar que si el punto de acceso inalámbrico no está protegido por
una contraseña, toda persona que se conecte a ese acceso se encontrará dentro de la
166
parte protegida de la red interna y detrás del firewall. Los piratas informáticos pueden
utilizar esto para obtener acceso a la red interna e ignorar completamente toda la
seguridad.
8.4.4 Optimizaciones
Existen varias prácticas recomendadas para ayudar a mitigar los riesgos que presentan,
entre ellas:
◊ Definir las políticas de seguridad
◊ Asegurar físicamente los servidores y el equipo de la red
◊ Establecer permisos de inicio de sesión y acceso a archivos
◊ Actualizar el SO y las aplicaciones
◊ Cambiar las configuraciones permisivas por defecto
◊ Ejecutar software antivirus y antispyware
◊ Actualizar los archivos del software antivirus
167
◊ Activar las herramientas del explorador: bloqueadores de elementos emergentes,
herramientas contra la suplantación de identidad y monitores de plug-in
◊ Utilizar un firewall
El primer paso para asegurar una red es comprender la forma en que se mueve el tráfico
a través de la red, además de las diferentes amenazas y vulnerabilidades que existen.
Una vez que se implementan las medidas de seguridad, una red verdaderamente segura
debe supervisarse constantemente. Los procedimientos y las herramientas de seguridad
deben verificarse para poder mantenerse a la vanguardia de las amenazas que se
desarrollan.
168
Capítulo 9. Resolución de problemas
de la red
9.1 Proceso de resolución de problemas
Documente todos los pasos para la resolución de problemas, incluso los que no sirvieron
para solucionar el inconveniente. Esta documentación será una referencia valiosa en caso
de que vuelva a tener el mismo problema o uno similar.
Recopilación de información
A continuación, recopile información sobre los equipos que pueden verse afectados. Esto
se puede obtener de la documentación. También se necesita una copia de todos los
archivos de registro y una lista de los cambios recientes en las configuraciones de los
equipos. Entre los datos del equipo también se incluyen el fabricante, la marca y el
modelo de los dispositivos afectados y la información de propiedad y garantía. También
es importante la versión del firmware o software del dispositivo, ya que puede haber
problemas de compatibilidad con determinadas plataformas de hardware.
169
complejas que suelen usarse en redes de gran tamaño a fin de obtener de manera
continua información sobre el estado de la red y los dispositivos de red. Es posible que las
redes pequeñas no cuenten con estas herramientas.
Una vez recopilada toda la información necesaria inicie el proceso de resolución del
problema.
La técnica descendente comienza con la capa de aplicación y sigue hacia abajo. Analiza
el problema desde el punto de vista del usuario y de la aplicación. ¿Es sólo una aplicación
la que no funciona, o son todas? Por ejemplo: ¿el usuario puede acceder a diferentes
páginas Web de Internet, pero no al correo electrónico? ¿Existen otras estaciones de
trabajo con problemas similares?
La técnica ascendente comienza con la capa física y sigue hacia arriba. La capa física
tiene que ver con el hardware y las conexiones de cables. ¿Se extrajeron los cables de
sus sockets? Si el equipo tiene luces indicadoras, ¿están encendidas o apagadas?
La técnica Divide y vencerás suele comenzar en una de las capas del medio para luego
seguir hacia arriba o hacia abajo. Por ejemplo: el encargado de resolver el problema
puede comenzar en la capa de red verificando la información de la configuración IP.
170
La estructura de estos enfoques hace que sean ideales para aquellas personas que no
tengan experiencia en resolver problemas. Los individuos más experimentados suelen
obviar los enfoques estructurados y seguir su instinto y su experiencia. Es posible que
usen técnicas menos estructuradas, como ensayo y error o sustitución.
Ensayo y error
Esta técnica se basa en el conocimiento individual para determinar la causa más probable
del problema. El encargado de resolver problemas supone cuál puede ser la solución más
probable según su experiencia previa y sus conocimientos de la estructura de la red. Tras
implementar la solución, si no funciona, emplea esta información a fin de determinar la
segunda causa más probable. Este proceso se repite hasta aislar y solucionar el problema.
Si bien el enfoque de ensayo y error puede llegar a ser sumamente rápido, depende de
las habilidades y la experiencia del encargado de la resolución de problemas y puede
generar suposiciones incorrectas o hacer pasar por alto soluciones sencillas.
Sustitución
Con esta técnica, se supone que el problema es causado por un componente específico
de hardware o un archivo de configuración. La parte o el código defectuoso se reemplaza
con un dispositivo o un archivo que se sabe que funciona. Si bien esta técnica no
descubre necesariamente el problema, puede ahorrar tiempo y restaurar las funciones de
la red con rapidez. Este enfoque se basa en la disponibilidad de partes y componentes de
repuesto, y en archivos de configuración de copias de seguridad, cuyo mantenimiento
puede ser muy costoso.
171
Por ejemplo: una técnica de sustitución se lleva a cabo cuando un ISP reemplaza un
dispositivo posiblemente averiado en lugar de enviar a un técnico a encontrar el problema
específico. Esta técnica se utiliza generalmente con partes poco costosas, como cuando
se reemplazan tarjetas de interfaz de red y cables de parche.
Una gran proporción de los problemas de networking está relacionada con componentes
físicos o con problemas en la capa física.
Los problemas físicos principalmente tienen que ver con los aspectos de hardware de las
computadoras y los dispositivos de networking, y con los cables que los interconectan. No
tienen en cuenta la configuración lógica (de software) de los dispositivos.
Los problemas físicos pueden surgir en redes por cable o inalámbricas. Uno de los
mejores métodos para detectar problemas físicos es utilizar los sentidos: vista, olfato,
tacto y oído.
Ipconfig
172
Ipconfig /all
El comando ipconfig /all muestra información adicional, que incluye la dirección MAC y las
direcciones IP de la gateway por defecto, y los servidores DNS. También indica si DHCP
está activado, la dirección del servidor de DHCP y la información de arrendamiento.
¿Qué puede aportar esta utilidad en el proceso de resolución de problemas? Sin una
configuración IP adecuada el host no puede participar en comunicaciones por la red. Si el
host no conoce la ubicación de los servidores DNS no puede traducir los nombres y
convertirlos en direcciones IP.
Ping
173
ping 192.168.7.5
ping www.cisco.com
Al enviar un comando ping a una dirección IP, se envía un paquete conocido como
solicitud de eco en toda la red a la dirección IP especificada. Si recibe la solicitud de eco,
el host de destino responde con un paquete denominado respuesta de eco. Si el origen
recibe la respuesta de eco, se ha verificado la conectividad.
Si no funciona ninguno de los dos comandos ping, es muy probable que el problema sea
la conectividad de red en la ruta hacia el destino. De suceder esto, lo habitual es enviar un
comando ping a la gateway por defecto. Si este comando ping funciona correctamente, el
problema no es local. Si el comando ping enviado a la gateway por defecto funciona,
entonces el problema reside en la red local.
El comando ping básico suele enviar cuatro ecos y esperar respuestas para los cuatro.
Sin embargo, se puede modificar para incrementar su utilidad. Las opciones presentadas
en el gráfico muestran las funciones adicionales disponibles.
174
9.2.5 Resolución de problemas con Tracert
Tracert
La utilidad tracert básica sólo permite hasta 30 saltos entre un dispositivo de origen y uno
de destino, antes de suponer que no se puede llegar al destino. Este número se puede
ajustar con el parámetro -h. También existen otros modificadores disponibles que se
muestran como opciones en el gráfico.
175
9.2.6 Resolución de problemas con Netstat
Netstat
En algunas ocasiones es necesario saber qué conexiones TCP activas están abiertas y
funcionando en un host conectado. Netstat es una utilidad de red importante que puede
usarse para verificar esas conexiones. Netstat indica el protocolo que se está usando, la
dirección y el número de puerto locales, la dirección y el número de puerto ajenos y el
estado de la conexión.
176
9.2.7 Resolución de problemas con Nslookup
Nslookup
Al acceder a aplicaciones o servicios en la red, los individuos suelen usar el nombre DNS
en lugar de la dirección IP. Cuando se envía una solicitud a ese nombre, el host primero
debe contactar al servidor DNS para resolver el nombre en la IP correspondiente. A
continuación, el host utiliza la IP para agrupar la información en paquetes para el envío.
La utilidad nslookup permite que el usuario final busque información sobre un nombre
DNS en particular en el servidor DNS. Al enviar el comando nslookup, la información
recibida incluye la dirección IP del servidor DNS que se está utilizando y la dirección IP
asociada al nombre DNS especificado. Nslookup se suele usar como herramienta para la
resolución de problemas, a fin de determinar si el servidor DNS resuelve los nombres
como corresponde.
177
9.3 Problemas comunes
9.3.1 Inconvenientes de conectividad
1. Enviar un comando ping desde un cliente inalámbrico a la gateway por defecto: así se
verifica si el cliente inalámbrico se conecta como corresponde.
2. Enviar un comando ping desde un cliente por cable a la gateway por defecto: así se
verifica si este cliente se conecta como corresponde.
3. Enviar un comando ping desde el cliente inalámbrico a un cliente por cable: así se
verifica si el router integrado funciona como corresponde.
178
9.3.2 Indicadores LED
Sin importar si el error se encuentra en la red inalámbrica o en la red por cable, uno de los
primeros pasos debe ser examinar los indicadores LED, que determinan el estado actual
o la actividad de un equipo o una conexión. Los indicadores LED pueden cambiar de color
o parpadear para transmitir información. La configuración y el significado exactos de los
indicadores LED varían según los fabricantes y los dispositivos.
Por lo general, los dispositivos tienen tres tipos de indicadores LED: alimentación, estado
y actividad. En algunos dispositivos, un mismo indicador LED transmite diferentes tipos de
información, según el estado actual del dispositivo. Es importante consultar la
documentación del equipo para conocer el significado exacto de todos los indicadores,
aunque existen algunas características habituales.
Los indicadores LED inactivos pueden dar señal de falla del dispositivo, falla del puerto o
problemas de cableado. Es posible que el dispositivo no funcione debido a una falla de
hardware. El puerto mismo podría funcionar defectuosamente debido a un problema de
hardware o de software mal configurado. Sin importar si la red es inalámbrica o por cable,
verifique que el dispositivo y los puertos funcionen bien antes de perder mucho tiempo
intentando solucionar otros inconvenientes.
179
9.3.3 Problemas de conectividad
Si el cliente no se puede conectar por cable al router integrado, una de las primeras cosas
que se debe hacer es controlar la conectividad física y el cableado. El cableado es el
sistema nervioso central de las redes por cable y una de las causas más comunes cuando
se detecta inactividad.
1. Asegúrese de usar el tipo correcto de cable. En networking se usan, por lo general, dos
tipos de cables TP: directos y cruzados. El uso del tipo de cable incorrecto puede impedir
la conectividad.
180
3. Existen longitudes máximas de tendido de cables según las características de cada
cable. Si se exceden se puede generar un impacto negativo en el rendimiento de la red.
5. Proteja los cables y conectores contra daños físicos. Coloque soportes para los cables
a fin de evitar tironeos en los conectores y disponga los cables en zonas que no
interfieran el paso.
181
9.3.5 Resolución de problemas de asociación y autenticación en una WLAN
Las WLAN modernas incorporan diferentes tecnologías que ayudan a proteger los datos:
si se configuran de manera incorrecta, puede interrumpirse la comunicación. Algunas de
las opciones más comunes que se configuran de forma incorrecta son: el SSID, la
autenticación y la encriptación.
Si la conexión física al host inalámbrico o por cable parece funcionar como corresponde,
controle la configuración IP del cliente.
182
como servidor de DHCP para clientes locales inalámbricos y por cable, y brinda
configuración IP, incluidas la dirección IP, la máscara de subred, la gateway por defecto y,
quizás, hasta las direcciones IP de servidores DNS. El servidor de DHCP enlaza la
dirección IP con la dirección MAC de un cliente y almacena esa información en una tabla
de cliente. En el router inalámbrico doméstico Linksys esta tabla se puede analizar en la
página Estado | Red local de la GUI.
La información de la tabla de cliente debe coincidir con la información del host local, que
se puede obtener con el comando ipconfig /all. Además, la dirección IP del cliente debe
estar en la misma red que la interfaz LAN del dispositivo Linksys. La interfaz LAN del
dispositivo Linksys debe estar configurada como gateway por defecto. Si la información de
configuración del cliente no coincide con la de la tabla de cliente, la dirección debe
eliminarse (ipconfig /release) y renovarse (ipconfig /renew) para formar un nuevo enlace.
Los hosts inalámbricos y por cable se pueden conectar entre sí, pero no a Internet
Si los hosts de la red local inalámbrica y por cable se pueden conectar al router integrado
y a otros hosts de la red local, pero no a Internet, quizás el problema esté en la conexión
entre el router integrado y el ISP.
183
de contraseña normalmente se encuentran en la página de configuración de instalación. A
continuación intente restablecer la conectividad haciendo clic en el botón Conectar o
Renovación de dirección IP, en la página de estado. Si el router integrado continúa sin
conectarse, contáctese con el ISP para ver si éste es el que ocasiona el problema.
La línea de base del rendimiento puede incluir los tipos de tráfico que normalmente se
esperan y el volumen de tráfico dirigido desde los servidores y los dispositivos de red y
hacia ellos. La línea de base debe documentarse apenas se instala la red, cuando está
funcionando de manera óptima. El rendimiento de línea de base debe restablecerse tras
la implementación de cambios significativos en la red.
Además, alguna documentación (como los mapas de topología, los diagramas de redes y
los esquemas de direccionamiento) puede proporcionar información valiosa cuando el
encargado de resolver el problema intenta comprender el diseño físico de la red y el flujo
lógico de la información.
184
Debe conservarse la documentación durante el proceso de resolución de problemas. Esta
documentación puede resultar una referencia valiosa y se podrá usar cuando surjan
problemas en el futuro. Una buena documentación de resolución de problemas debe
incluir:
◊ Problema inicial
◊ Pasos que permiten identificar el problema
◊ Resultados de todos los pasos, correctos e incorrectos
◊ Causa final determinada del problema
◊ Solución definitiva del problema
◊ Medidas preventivas
El soporte técnico es la primera parada para el usuario final que busca asistencia. Se trata
de un grupo de individuos con el conocimiento y las herramientas que se necesitan para
ayudar a diagnosticar y corregir problemas comunes. Proporciona asistencia a los
usuarios finales para determinar si existe un problema, su naturaleza y la solución
correspondiente.
Muchas compañías e ISP emplean soportes técnicos para asistir a sus usuarios con los
problemas de networking. La mayoría de las grandes compañías de TI cuentan con
soporte técnico para sus productos o tecnologías individuales. Por ejemplo: Cisco
Systems ofrece asistencia de soporte técnico para problemas de integración de equipos
Cisco en una red o para problemas que puedan surgir posteriormente a la instalación.
De ser necesario, el soporte técnico puede tomar control de un host local mediante
software de acceso remoto. Esto permite que los técnicos ejecuten programas de
diagnóstico e interactúen con el host y la red sin tener que viajar físicamente hasta el
lugar de trabajo. Esto reduce en gran medida el tiempo de espera para solucionar el
problema y permite que el soporte técnico asista a más usuarios.
185
Es importante que el usuario final proporcione toda la información posible al soporte
técnico. Precisarán información sobre todos los planes de soporte y servicio
implementados y los detalles específicos del equipo afectado. Esto puede incluir marca,
modelo, número de serie y la versión de firmware o sistema operativo que se utiliza en el
dispositivo. También pueden necesitar la dirección IP y la dirección MAC del dispositivo
que tiene el inconveniente. El soporte técnico precisará información específica del
problema, por ejemplo:
◊ Síntomas hallados
◊ Persona que se encontró con el problema
◊ Momento en que se manifiesta el problema
◊ Pasos que permiten identificar el problema
◊ Resultados de los pasos dados
Si no es la primera vez que llama, esté preparado para proporcionar la fecha y la hora de
la llamada anterior, el número de informe y el nombre del técnico. Colóquese delante del
equipo afectado y prepárese para proporcionar al personal de soporte técnico acceso al
equipo, si se le solicita.
186